点完餐看一下摄像头就能完成支付,住酒店刷脸后才能登记,上公厕用厕纸也要刷脸才能取用……随着人工智能的发展,人脸识别技术得到广泛应用,大家有没有发现,人脸识别技术正在大规模的应用在各种生活和工作场景。这些莫名陡增的小现象,带来的是更大的便利还是更痛的忧患?
11 月 20 日,被称为国内“人脸识别第一案”的杭州市民郭兵诉杭州野生动物世界有限公司一案宣判。杭州市富阳人民法院一审判决杭州野生动物世界删除郭兵办理年卡时提交的面部特征信息,赔偿郭兵合同利益损失及交通费共计 1038 元。郭兵的胜诉固然具有里程碑式意义,而关于人脸识别技术的讨论仍在继续。
从表面上看,此事只是违约案件,但从 AI 技术的发展角度来看,则是确定了人脸识别技术应用的方向及权界,未来的人脸识别技术,不再是单方面的获取,而是需要征求用户的许可。
人脸识别的应用推广。一方面,人们的确享受了技术带来的便捷高效,节约了时间人力成本,另一方面,人脸识别的泛滥也为用户面部信息泄漏留下了安全隐患。2020 年 7 月,“人脸信息五毛一份在电商平台打包出售”被曝光,不少网络黑产从业者以此批量倒卖非法获取的人脸等身份信息,从事虚假注册、电信网络诈骗等违法犯罪活动。
《中华人民共和国网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
然而在人脸识别的应用场景中,用户或被反复弹窗提示使用人脸识别功能,或在并无人脸识别平行选择的情况下被动接受刷脸,甄别能力较弱者甚至被某些“换脸游戏”引导录入面部信息并不自知……在信息使用层面,部分信息采集方并未向用户明确使用规则及范围,后续信息的使用处理亦无人监管;在信息保护层面,人脸识别技术的使用机构和数据公司,一味使用技术红利采集信息,却并不都具备相关风险抵御能力。作为不可复制替换的个人信息元素,面部信息一旦被窃取或泄漏,其风险不言而喻。
人脸识别技术被滥用,正在造成个人信息采集的失控。除了公众个人信息保护意识薄弱之外,不少组织机构无论是否正当、有无必要,一味追求成本低廉和采集便利,无限制使用人脸识别身份认证也是重要原因。此外,数据公司为拓展业务和增收盈利,不断推广普及采集技术,也为人脸信息安全埋下了隐患。
技术的发展和应用有待相关法律的同步。在现有网络安全法、民法典、消费者权益保护法等相关法律的基础上,法律有必要对不同主体收集人脸信息的正当性、必要性边界进行规范,进一步明确信息采集尺度、技术使用边界、信息保护监管、信息安全责任。
2020 年 3 月,由国家市场监督管理总局、国家标准化管理委员会正式发布了 2020 版国家标准《信息安全技术个人信息安全规范》,其中明确要求个人生物识别信息需单独告知使用目的、方式和范围,并且应当与个人身份信息分开存储且原则上不应存储原始个人生物识别信息。规范中具有参考价值的提法建议,有必要落实为法律层面进行强制约束。
作为信息的采集流通储存环节,组织机构和技术公司在采集人脸信息时,应当遵循“最少够用”原则,充分征求被采集人意见,落实行业主体责任,公开信息使用规则,保障信息使用安全。另一方面,也要开发替代性的身份识别手段,在信息安全流程尚不成熟阶段,把控人脸识别技术存在的技术风险。
与此同时,在公民提高个人信息安全意识之外,政府也要落实监管主体责任,管控过度信息采集行为,监管信息的使用流通安全,建立组织机构的普适性安全责任底线,为公民搭建一张值得信赖的个人信息安全保护网络。
人脸识别双刃剑
虽然人脸识别被大范围应用,但据了解,目前人脸识别技术主要用于公安、零售等部分行业,其他行业的应用并不多——人脸识别相关设备的费用并不低,如何回利成为最根本的要求。
但就目前来说,随着 3D 结构光、活人认证技术的应用,均要求采集当事人的现有面容,在这一要求下,大部分面容照片并不能被有效利用。
而普通的照片通常被用于训练——部分 AI 企业并不具备采集数据的资质,为了训练 AI 的深度运算,只能购买照片进行训练,但这一产业规模相对集中。
此外,在公共安全方面所采集的人脸数据,通常会在 3-6 个月后删除;而在私人领域门禁方面,则会在 15-90 天内删除——这一切均在遵守法律法规的企业才会做。
中央网信办等部门近期表示,针对面部特征使用不规范等问题,将开展专题研究。